Neko.io, l'étrange réseau social crypté

Envoyer un message crypté à l'ensemble de ses contacts Facebook/Twitter pour être sûr que seuls ses vrais amis pourront le déchiffrer, c'est la promesse de Neko.io. Utile ? Pas vraiment, mais m0le'o'blog l'a quand même décortiqué, juste pour expliquer pourquoi !

Capture d'image du site Neko.io

Image : capture d'écran du site Neko.io

Un réseau social composé de contacts piochés dans d'autres réseaux sociaux, c'est presque une étape obligée. Mais Lifehacker explique ce qui pourrait rendre Neko.io spécial : la promesse d'un secret absolu.

C'est simple : on s'inscrit, on synchronise et on chipe nos "chouchous" Facebook et cie pour les faire entrer dans notre carré VIP.

Une fois connecté, si on a envie de rager sur son boss, on écrit son post, il est "crypté" via un lien que l'on peut diffuser sur son Facebook, Google+, Twitter... Seuls vos petits privilégiés sur Neko.io pourront le déchiffrer, mais seulement s'ils se sont préalablement inscrits !

Les faiblesses techniques de Neko.io

Pour se connecter au service, il ne faut pas de mot de passe, d'email ou autre information personnelle, comme c'est bien précisé dans la partie "Privacy".

Il y a quand même à ce moment-là une étape qui me chagrine : l'obligation de se synchroniser avec une application créée par la boîte derrière Neko.io.

Techniquement, Mepin est une infrastructure à clés publique. Autrement dit, Mepin pioche dans un jeu de clés publiques ouvertes à tous les utilisateurs pour crypter les messages. Chacune des applications que vous avez synchronisées a sa propre clé privée, ce qui permet aux utilisateurs d'obtenir un autre message en partant de la même clé publique.

Cerise sur le gâteau vantée par la page iTunes de Mepin, vous pouvez verrouiller votre clé privée avec un code PIN à vous.

Elle est gratuite, certes, mais pas libre et uniquement téléchargeable sur iPhone. D'où vient cet engouement compulsif de certains développeurs pour la marque à la pomme ? Fox Mulder n'officie malheureusement plus, mais j'imagine souvent que "la vérité est ailleurs".

Les initiés à la cryptographie ont déjà dû avoir quelques frissons. Si ce n'est pas encore le cas, je vais vous citer les raisons d'avoir peur :

  • donner à une application propriétaire la possibilité de choisir vos mots de passe, même s'ils sont cryptés, revient à vous rendre totalement dépendant d'elle
  • aucun détail n'est donné sur le système de cryptage : AES, PGP, clé faite maison ? Bref, il y a de quoi se méfier.

Certains pourront répliquer que l'on peut se contenter de synchroniser Mepin uniquement avec Neko.io. Qu'ils lisent la prochaine partie.

Les faiblesses conceptuelles de Neko.io

La plus grande erreur de Neko.io vient de son concept. Les gens de chez Meontrust ont peut-être trouvé un secteur de niche, mais ils ne se sont pas demandés pourquoi ce positionnement était encore inoccupé.

Je leur propose une question simple en guise de réponse : quel intérêt à baver sur quelqu'un et à rendre public le fait qu'on ait bavé ?

Vous imaginez si les posts de nos contacts sur les réseaux sociaux commençaient à être codés, et qu'on n'y comprenne jamais rien ?

Attendez, je vous le fais :

Nono : RVFM QFUJU JEJPU DF SBQIJ 🙂 (si tu fais partie du cercle Neko.io de Nono, tu peux décoder ce message)

Déjà, ça commence à être énervant. Mais le pire, c'est quand quelqu'un du cercle lui répond publiquement.

Olivier : BJ BJ UV BV CJFO SBJTPO OPOP 😉 (si tu fais partie du cercle Neko.io d'Olivier, tu peux décoder ce message)

Philou : +2 (juste pour pouvoir décoder) NFHB MPM YE !!! (si tu fais partie du cercle Neko.io de Philou, tu peux décoder ce message)

Le vrai problème, ce n'est pas tant de pouvoir dire qu'on n'aime pas son patron ou Tartempion sur un réseau sans pouvoir se le faire reprocher. Le vrai problème, c'est de réaliser enfin qu'un réseau social n'est tout simplement pas fait pour ça.

Il y a eu des gens licenciés pour avoir dénigré leur boss sur Facebook, et des gens qui se sont mécaniquement émus de la "fin de la vie privée".

Mais la vie privée existe toujours, il faut seulement la garder privée, ou IRL pour les plus geeks.

Si l'on poste sur les réseaux sociaux que ce que l'on peut assumer en évitant le dénigrement, l'insulte ou la diffamation de tiers, il n'y aura jamais de raison d'utiliser un service comme Neko.io.

Et pour le rôle des autres qui peuvent parfois pourrir notre e-reputation, j'y reviendrai dans un prochain billet.

Pour aller plus loin

Mise à jour du 11 janvier 2012

Regardez les commentaires pour certaines précisions de Neko.io !

Comments

Comment by Nono on 2012-01-10 15:17:13 +0100

Bien vu

Comment by @Neko_io on 2012-01-10 22:37:38 +0100

Nice article! Tweeted earlier some info on the crypto we use, check it out. Android version, USB key, etc, is coming up for authentication.

Neko.io is a utility. The point is not that each and every message in your chosen social network would be encrypted. Users can use it to encrypt only the confidential parts of a message.

Merci mille fois!

Comment by Nono on 2012-01-11 09:58:26 +0100

So, can U have a link about the crypto ?

Comment by @Neko_io on 2012-01-11 12:18:17 +0100

Here's some info about the crypto we use;

The messages are encrypted with AES-256 with randomly rotated and calculated keys. The generated URL does not contain the key or initialization vectors. It contains only indexes to the cipher. The same message by two different users generates different URLs, thus being safe from brute force attempts.

Happy to clarify any other concerns you might have.